subnet brukt i norge

[petterg]

Hvordan lager man en brannmurregel som kun tillater norske ip-adresser? Eller skandinaviske? Finnes det oversikt over hvilke adresser som brukes i hvilke land/områder/ISP'r?

[nomore]

Nei. Det finnes ikke en oversikt over dette. Og hva med norske brukere hvor trafikken kommer fra for eks Danmark?

 

Hva er formålet med å gjøre dette egentlig?

[petterg]

Det merkes på loggene at det er på tide å hindre endel forsøk på inntrengning. Det gjelder både vpn, mailservicer, ssh, ...

Det jeg kunne tenkt meg var å ha normalmodus at kun norske adresser er tillatt, så hvis noen skal utenlands må de melde fra hvilket land de skal til, så kan man åpne for det landet. Hvordan virker websider som gjetter hvilket land du befinner deg i? Jeg ville trodd at de brukte en database som knytter ip til geografi (hvor fikk de i såfall den databasen fra?), men de gjør det kanskje på en helt annen måte?

Endret 12. mars 2012 av petterg

[OJodd]

Klikk her for å åpne hurtigsvar til tjenester. Det merkes på loggene at det er på tide å hindre endel forsøk på inntrengning. Det gjelder både vpn, mailservicer, ssh, ...

Det jeg kunne tenkt meg var å ha normalmodus at kun norske adresser er tillatt, så hvis noen skal utenlands må de melde fra hvilket land de skal til, så kan man åpne for det landet. Hvordan virker websider som gjetter hvilket land du befinner deg i? Jeg ville trodd at de brukte en database som knytter ip til geografi (hvor fikk de i såfall den databasen fra?), men de gjør det kanskje på en helt annen måte?

 

De fleste oppslag på geografi foregår mot databaser med slik informasjon. Dette er vel typisk informasjon som er sånn "ca" korrekt, noen ip-områder faller alltid utenom og det står at du er fra Sverige mens du egentlig surfer fra Norge.

 

Jeg kjenner ikke til at man sperrer for geografiske områder på brannmur-nivå, men det er jo fullt mulig å manuelt legge inn kjente ip-områder hvis man ønsker det, det vil jo bare ta ganske lang tid å gjøre dette manuelt.

 

Kan det være en bedre løsning å legge ut IP-områder på bakgrunn av kjente legitime adresser?

 

edit: Kjapt google søk ga meg en tilbyder med pris på 50 $ for en database over norske IP-adresser

Endret 12. mars 2012 av OJodd

[nomore]

Det finnes tjenester som bruker GeoIP til å fastslå en geolokasjon knyttet til en IP adresse. Men informasjonen er avhengig av at korrekte opplysninger blir meldt inn, og at informasjonen blir oppdatert dersom den endres.

 

Derfor kan slike oppslag gi feil eller unøyaktige resultat. Og hva om dere skal kommunisere med et tysk selskap som kjøper tjenester fra England? Hvordan skal dere sjekke dette og følge det opp?

 

Og hva om en kollega skal sende e-post til Sveits, melder fra til dere, dere åpner og så tar det to uker før de får svar? Eller hva om svaret er todelt, og første svaret kommer i løpet av noen timer, mens det andre svaret kommer etter noen dager. Men blir avvist fordi dere hadde blokkert kommunikasjonen fra Sveits igjen.

 

Eller hva med ansatte i selskaper som er ute og reiser. Skal de kun kunne kommunisere med dere når de er på kontoret sitt?

 

Å sjekke hvor trafikk kommer fra er fint i forhold til valg av språk eller andre funksjoner på ei nettside/tjeneste, men vil være håpløst å bruke for å utelukke uønsket trafikk. Ikke minst et mareritt å administrere.

 

Det dere bør se på er outsourcing av spam og virusfilter til en ekstern leverandør(og deretter blokkere port 25/SMTP fra andre enn disse. Deretter må dere sørge for å ha sikre rutiner og gode løsninger for SSH og VPN, slik at disse ikke har kjente svakheter. Og sist må dere sørge for en brannmur som kan oppdage slike forsøk selv via signaturer og/eller gjentatte forsøk som da selv stenger ute IP adresser i korte eller lengre perioder. Sjekk etter brannmurer som har støtte for IDS/IPS.

[petterg]

Eksternt spamfilter er allerede på plass. SMTP er den minste bekymringen.

 

Det som bekymrer er at brukeres passord ikke blir gode nok. Jeg vil derfor begrense tilgangen til alt hvor brukeres passord er inngangsnøkkel.

 

Og det utløsende momentet her var at noen har klart å komme inn på testserveren min som kun hadde ssh åpent, og passordet var 12 tegn og absolutt ikke noe ord!

På (prod)linux serverene har jeg lagt inn at hvis en service logger feil passord 5 ganger fra samme ip, kjøres et script som legger denne ip'n i en block-list som igjen brukes av iptables til å sperre den ip'n for fremtidig oppkoblinger.

På windowsserverene har jeg ikke funnet noen måte å gjøre tilsvarende på.

 

Problemet med løsningen er at blocklista etterhvert blir så lang at iptables blir en enorm belastning på serveren. Den har selvsagt forbedringspotensial i å forsøke å gjette subnet fremfor å blokkere enkelt ip'r.

 

I.o.m at flertallet av verdens nettbrukere ikke skal ha tilgang, ville det vært mer hensiktsmessig å heller ha en allow-list enn en block-list.

 

Jeg har vært inne på tanken om å lage et webinterface hvor brukere som ikke får logget inn på de servicene de skal kan logge på websiden for å åpne den ip'n de kommer fra, men dette slår ikke godt an hos brukere. (I alle fall ikke i forbindelse med mail på mobil.)

 

Så en slags grunnstamme av tillatte subnet, kombinert med et slik webinterface for å tillate enkelt-ip'r (for en tidsbegrenset periode) for de som reiser utenlands ville antagelig løst problemene.

 

 

En siste mulighet er en app for pc'r og mobiler som i praksis gjør det samme som det nevnte webinterfacet automatisk.

 

Problemet med webløsningen er at de fleste brannmurer er umulige å styre på en slik måte. På linuxservere er det greit å kunne kjøre iptables, men i windowsverden vet jeg ikke om noen måte å gjøre slikt lokalt. Det burde kunne la seg gjøre ved å sette en mikrotik router som switch med ip-filter forran windowsserverene....

 

Men et grunnlag for en slik allow-list i form av norske ip'r, ville definitivt vært den enkle løsningen.

[nomore]

Hva med tofaktor autentisering?

[petterg]

Brukere vil at ting skal være oppe og på plass når de skrur på maskina. Kjenner du til noen tofaktor autentisering som ikke krever brukerinteraksjon på daglig basis? Bare det å presse igjennom at exchangeserveren skal kreve pinkode på tastlåsen til mobilen er jo et prosjekt i seg selv.

 

Det finnes helt sikkert flere tofaktorsystemer enn de jeg har kikket på, så godt mulig at det finnes en løsning her, hvis man bare finner det rette.

[nomore]

Yubikey fungerer jo.

 

Nå vet eg ikke hvor mange brukere du har eller hvordan driftsmodellen er, men enten så er sikkerheten viktig, og da må du få med deg ledelsen på at sikkerhetstiltak er nødvendig. Eller så er ledelsen klar over at sikkerheten er nedprioritert til fordel for brukerlatskap, og du kan se en annen vei når angrepene havner i loggen.

 

Det handler naturligvis om en mellomting, men om hverken sjefen din eller ledelsen i bedriften innser hvor viktig sikkerhet er, og at det du gjør er viktig for å ivareta denne, så har du ikke solgt deg godt nok.

[OJodd]

Yubikey fungerer jo.

 

Nå vet eg ikke hvor mange brukere du har eller hvordan driftsmodellen er, men enten så er sikkerheten viktig, og da må du få med deg ledelsen på at sikkerhetstiltak er nødvendig. Eller så er ledelsen klar over at sikkerheten er nedprioritert til fordel for brukerlatskap, og du kan se en annen vei når angrepene havner i loggen.

 

Det handler naturligvis om en mellomting, men om hverken sjefen din eller ledelsen i bedriften innser hvor viktig sikkerhet er, og at det du gjør er viktig for å ivareta denne, så har du ikke solgt deg godt nok.

 

Skulle til å skrive et svar, men du har allerede sagt akkurat det jeg tenkte på. Det finnes ingen snarvei til økt sikkerhet.

[nomore]

Japp. Det er dessverre ikke enkelt å pålegge brukere noe uten mandat fra sjef eller ledelse.

[petterg]

Yubikey kan vel ikke brukes med mobiler?

Desuten ser jeg ikke på hvilket hvis den er sikrere enn å kreve vpn for alle tilkoblinger. Man ville faktisk oppnådd både tryggere og enklere pålogging om man satt opp host-host ipsec i GPO for bedriftens laptoper. Og grunnen til at man ikke gjør det er at det sperrer ute mobiler og webmail fra private maskiner. (+ at ipsec kun håndtere en klient pr public ip, slik at to ansatte på samme hotell vil bare få logget inn en av gangen.)

[xcomiii]

Hvilke tjenester er du prøver å beskytte egentlig? Er det kun ekstern mail? Og evt VPN?

SSH er da en litt obskur tjeneste å¨tilby til folk som er på reise, de bør i tilfelle være oppgegående nok til å kunne legge seg til på en allow list, eller evt bruke webmin med 2-faktor autentisering og bruke SSH derfra.

 

De aller fleste mail og VPN løsninger støtter 2-faktor autentisering, Yubikey er en av de.

Ellers har RSA løsninger (veldig dyre), eller hvorfor ikke SMS autentisering? Jeg satte opp SMS autentisering for en kunde som ville ha dette på VPN. Når brukeren da forsøker å logge inn, sendes det en sms til brukeren på et forhåndsbestemt mobilnr (styrt av admin), brukeren får da sms med 4 siffers PIN kode, brukeren skriver PIN kode og er logget inn.

 

Exchange har også støtte for 2-faktor autentisering på hhv OWA og webservices. Men dere bruker kanskje POP/IMAP?

 

Jeg har også en rekke servere med SSH åpent, men har aldri opplved at noen har brukt brute force OG har klart å gjette passordet. Da tenker jeg det er sannsynlig at passordet har lekket på andre måter.

Sikkerhet vil alltid være en avveiing mellom brukervennlighet og sikkerhet i den andre enden.

[petterg]

SSH er åpen på noen servere pga backup som går over ssh-tunell.

Det brukes også sftp som jeg omsider har klart å overbevise endel om å bruke fremfor å sende mail med gigantiske vedlegg.

 

Ellers er det imaps, exchange (https), sharepoint, vpn, smtp-ssl-auth, ftp og et par interne applikasjoner (de er den minste risikoen). Egentlig vil jeg bare ha minst mulig tilgang for felst mulig, samt enklest mulig tilgang for de som faktisk trenger det.

[petterg]

Jeg har heller aldri opplevd (lagt merke til) at noen har klart å brutforce passord på ssh. Overaskelsen var derfor stor da noen har vært inne på testserveren som root, og det er kun jeg som har login til den, og det er kun ssh som er åpent på den. Jeg tar det som et signal om at noe må gjøres med sikkerheten flere steder.